RotBot-malware gebruikt bij Aziatische slachtoffers
Er is waargenomen dat een vermoedelijke dreigingsactor van Vietnamese afkomst zich sinds minstens mei 2023 richt op individuen in verschillende Aziatische en Zuidoost-Aziatische landen met kwaadaardige software gericht op het extraheren van waardevolle gegevens. Deze groep, door Cisco Talos geïdentificeerd als CoralRaider, lijkt te worden gedreven door financiële motieven. Hun campagne strekt zich uit over India, China, Zuid-Korea, Bangladesh, Pakistan, Indonesië en Vietnam.
Beveiligingsonderzoekers Chetan Raghuprasad en Joey Chen hebben opgemerkt dat CoralRaider zich concentreert op het stelen van de inloggegevens, financiële gegevens en sociale-mediaprofielen van slachtoffers, inclusief bedrijfs- en advertentieaccounts. Ze zetten aangepaste varianten van Quasar RAT in, genaamd RotBot en XClient stealer, als hun primaire tools.
Daarnaast maakt de groep gebruik van diverse kant-en-klare malware zoals AsyncRAT, NetSupport RAT en Rhadamanthys voor externe toegang en gegevensdiefstal. Met name in Vietnam hebben ze interesse getoond in het overnemen van de controle over bedrijfs- en advertentieaccounts met behulp van malwarefamilies als Ducktail, NodeStealer en VietCredCare.
Telegam wordt gebruikt om gestolen gegevens door te sturen
De gestolen informatie wordt via Telegram overgedragen en met winstoogmerk op ondergrondse markten verkocht. Er wordt aangenomen dat de operators van CoralRaider in Vietnam zijn gevestigd, wat blijkt uit hun communicatie op Telegram-kanalen en het gebruik van Vietnamese taalelementen in hun tools.
Hun aanval begint meestal met een Windows-snelkoppelingsbestand (LNK), hoewel de distributiemethode onduidelijk blijft. Bij het openen van het LNK-bestand wordt een HTML-toepassing (HTA) gedownload van een server die wordt beheerd door de aanvaller, waardoor een ingebed Visual Basic-script wordt geactiveerd. Dit script decodeert en voert drie PowerShell-scripts achter elkaar uit, verantwoordelijk voor verschillende ontwijkingstactieken en de inzet van RotBot.
RotBot maakt, eenmaal geactiveerd, verbinding met een Telegram-bot om de XClient-stealer in het geheugen op te halen en uit te voeren. Deze malware is gespecialiseerd in het verzamelen van cookies, inloggegevens en financiële gegevens van populaire webbrowsers zoals Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox en Opera, samen met gegevens van Discord en Telegram.
Bovendien is XClient ontworpen om informatie te extraheren uit de sociale media-accounts van slachtoffers zoals Facebook, Instagram, TikTok en YouTube, inclusief details met betrekking tot betaalmethoden en toestemmingen die verband houden met Facebook-bedrijfs- en advertentieaccounts.